理財子公司如何應對《金融機構合規管理辦法》
作者:星際游 2024-09-142024年8月16日,國家金融監督管理總局(以下簡稱“金融監管總局”)就《金融機構合規管理辦法》公開征求意見(以下簡稱“《征求意見稿》”)。對于包括理財子公司在內的銀行業金融機構而言,關于合規管理的監管要求并不陌生,早在2006年,銀行業金融機構便已遵循當時銀監會的監管要求以及巴塞爾委員會發布的合規文件中所確立的合規基本原則進行合規管理工作。此次《征求意見稿》不僅反映了金融監管總局監管分工的調整,還借鑒了2020年修訂的《證券公司和證券投資基金管理公司合規管理辦法》以及國務院國資委2022年發布并實施的《中央企業合規管理辦法》等近期監管要求,同時切實回應了業界在實務中的反饋。本文擬結合《征求意見稿》現行文本體現的監管要求和趨勢,具體分析理財子公司的應對之道。
一、前言
對于合規管理,銀行理財子公司目前主要應當參照原銀監會制定的《商業銀行合規風險管理指引》(2006年)(以下簡稱“《合規風險指引》(2006)”)執行[1]。然而在實務中,并非《合規風險指引》(2006)全部條款均可適用于理財子公司,且“參照執行”的具體執行標準并不清晰。此次《征求意見稿》適用范圍明確列明了其適用于包括銀行理財子公司在內的由金融監管總局監管的十六類金融機構,《征求意見稿》正式實施后,將為理財子公司的合規工作提供更為明確的實務指導。
雖然《征求意見稿》仍在公開征求意見階段,但是其現行文本中體現要求相較于《合規風險指引》(2006)已經有了較大的調整。如果該文件可以在2025年3月1日起實施,則相關適用機構需在2026年3月1日前按照《征求意見稿》的要求調整完畢。因此各理財子公司有必要提前認真研讀《征求意見稿》中的相關要求,對比實務操作,以提早做好合規準備。
二、具體影響分析
(一)需要梳理公司治理相關文件、優化表述
關于合規管理的公司治理結構,主要體現在《征求意見稿》第八條至第十條,即公司的董事會、高級管理層以及各部門各分支機構對于合規管理分別承擔有效性最終責任、領導責任以及首要責任。
此治理架構對于理財子公司而言并非全新概念,根據《理財子公司內部控制管理辦法》(2022)規定,“理財子公司董事會對內部控制的有效性承擔最終責任,......高級管理層負責具體執行”。實務中,理財子公司大多也已經建立了與監管要求一致的合規管理框架。筆者認為為執行《征求意見稿》要求之目的,理財子公司需要更多關注公司現有的相關公司治理文件,包括但不限于公司章程、董事會議事規則、專門委員會工作規則以及高級管理人員的職責等是否能夠充分體現《征求意見稿》的相關要求。
1.公司章程中的董事會職權應列明董事會對合規管理的有效性承擔最終責任
筆者觀察到部分理財子公司章程中已經有類似表述,例如“董事會對于內部控制以及合規管理有效性承擔最終責任”。值得探討的是,如果章程中的表述為“董事會對于內部控制政策承擔全面風險管理的最終責任”是否可以認為涵蓋了“合規管理”內容?
根據《合規風險指引》(2006)第四條,“合規管理是商業銀行一項核心的風險管理活動。商業銀行應綜合考慮合規風險與信用風險、市場風險、操作風險和其他風險的關聯性,確保各項風險管理政策和程序的一致性”。而《銀行保險機構公司治理準則》第九十八條以及《銀行業金融機構全面風險管理指引》第十一條均規定“董事會承擔全面風險管理的最終責任”[2]。如果理解為“合規風險作為全面風險管理的重要組成部分”,那么合規管理順理成章的涵蓋在董事會最終責任范圍內。
雖然有觀點主張為合規管理和合規風險管理本身就是一個主體的不同表述,但筆者認為此次《征求意見稿》整體立意系將合規風險管理調整為合規管理。金融機構的業務本質上可被視為是風險的管理,但是在金融機構具體運營以及監管的語境下,風險管理更多意味著針對風險的專業管理工作,而并非合規管理活動本身。因此,筆者認為如能在章程中增加“董事會對于合規管理有效性承擔最終責任”會更為穩妥。
2.細化相關董事會下設委員會工作規則
《征求意見稿》首次提出了董事會下設合規委員會的概念,同時也允許合規管理職能由其他委員會承擔(《征求意見稿》第八條第七款)[3]。實務中,即便是合規工作開始最早的商業銀行,在董事會直接下設單獨的合規委員會的情形也不多見,多由風險管理委員會進行統一管理。筆者理解在不違反“不兼容原則”前提下,董事會下設專門合規委員會并非強制性要求,各機構可以結合本機構特點予以考量。實務中應當更關注既有的委員會會議議事規則以及工作規則是否能夠完全涵蓋《征求意見稿》要求的內容。
根據《征求意見稿》第八條,董事會承擔的合規管理職責設置主要體現為:部門的設定權;對于高級管理人員(包括首席合規官)聘任、解聘權以及審議批準具體合規制度;合規文化的建設和評估三部分。
對于理財子公司而言,設立合規管理部門和任命首席合規官并非首次面臨的監管要求,早在2022年《理財公司內控指引》中就提出設立首席合規官崗位,對各部門以及高級管理人員的設置、聘任、解聘也均在董事會既有職權范圍內。結合實務,筆者認為理財子公司應當更為關注董事會下設專門委員會工作規則中是否包括了如下具體內容:
(1)明確年度合規管理報告的審閱要求以及時間
《征求意見稿》第五十一條規定每年4月30日前向相關監管機構報送上一年度合規管理報告,此外,董事會與首席合規官對合規管理報告的真實性、準確性、完整性共同承擔責任。因此,董事會相關工作規則應當保證董事會有充分時間審閱年度合規管理報告,至少在每年4月30日前完成此項工作。
(2)建立首席合規官與董事會的直接溝通機制
相較于《合規風險指引》(2006)第十一條中提及的“單獨面談和其他有效途徑”,《征求意見稿》中的“直接溝通機制”要求首席合規官與董事會下設委員會的溝通更具有系統性和規范性。
可能有觀點認為既然《理財子公司內部控制指引》第八條已經要求“首席合規官對董事會負責”,沒有必要再在“直接溝通機制”上多下功夫。結合實務經驗,筆者認為理財子公司不能忽視《征求意見稿》中“直接溝通機制”這一監管要求。“直接溝通機制”不僅體現在首席合規官的匯報路徑上,關鍵要有制度保證首席合規官與董事會之間能夠順暢、全面的進行信息溝通,并保證這種溝通的穩定性和及時性。實務中,有些機構并未將合規相關議題納入董事會會議的常規議程,合規總監(或合規負責人)與直接負責董事之間的溝通可能尚未實現制度化,或者缺乏完善和系統的記錄保留制度。
(3)增加合規文化建設內容
雖然合規文化建設是合規管理體系每一項工作任務中的重要部分,但實務中經常面臨的挑戰是:由于機構在合規文化方面缺乏系統性的設計、管理、監測以及匯報機制,導致最終無法完整地展示企業的合規文化成果,也無法合理評估合規文化踐行的效果。此次《征求意見稿》明確將合規文化建設的工作列為董事會的職責,建議董事會下轄委員會工作規程中應當明確增加合規文化建設這一職能。
實踐中,合規文化建設以及管理由董事會下設哪一個委員會負責,需要結合公司實際情況考慮。筆者觀察,銀行業機構通常設立專門委員會負責企業文化管理職能,有的機構還將此職能擴展至消費者權益保護以及社會責任管理。同時,理財子公司還需要考慮建立全面風險管理文化以及廉政文化等,以滿足監管要求。因此,如何在機構現有制度人員設置基礎上,更有效利用公司現有資源推廣合規文化建設,是每一家機構需要深思熟慮的問題。合規管理部門以及首席合規官應當向董事會爭取為合規文化建設提供專項支持,不能簡單將風險管理文化等同于合規文化,也不能認為合規文化建設體現在合規工作全流程而簡單推論無需再進行進一步工作。
(4)優化高級管理人員的范圍和職責
監管機構明確將首席合規官界定為金融機構重要的高級管理人員,并納入任職資格管理(參見《征求意見稿》第十一條以及《理財公司內部控制管理辦法》第九條)。因此,各機構需要按照《公司法》第二百六十五條要求,在公司章程中將首席合規官明確列為公司高級管理人員[3]。此外,《征求意見稿》第九條規定了高級管理人員的合規管理職責,亦建議金融機構視情況在公司章程高級管理人員職責條款中相應細化補充,盡量避免采用“推動合規文化建設”之類的模糊表述。
(二)需要增加或調整合規人員配置
此次《征求意見稿》將是首次在部門規章或正式規范性文件的層級上,要求針對合規管理工作建立三道防線,并對于合規部門職責、分支機構和業務部門合規崗位的設立做出明確規定。
實務中,從事合規管理工作的人員經常面對的問題是:一方面,凡是涉及“合規”二字,業務部門即認為該事項由合規部門全權負責,與業務部門無關;另一方面,合規管理部門與內部控制部門、風險管理部門以及法務部門職責不清,無法發揮合規應有的作用。理財子公司非常有必要按照《征求意見稿》審視現有合規人員配置以及責任設置,合理調整公司內部資源設置。這不僅關乎形式上的合規性,更重要的是在順暢、合理的管理架構下,更好地發揮“合規”對公司運營和管理的支持作用。
1.設置符合要求的合規管理部門
在部門設置方面,《征求意見稿》在允許單獨設置合規管理部門的同時,也允許在明確合規管理職責的牽頭部門的前提下,設置多個職責不相沖突的部門共同承擔合規管理職責。而在《合規風險指引》(2006)中,并沒有牽頭部門這一概念。實務中,無論是因歷史原因或是合規管理部門資源受限原因,確實存在有些重要的合規職能由其他部門履行的情況,例如對于投訴以及舉報的接收、處理以及跟蹤等。《征求意見稿》對于“牽頭部門”的規定有效地回應了實務中頻繁出現的問題,即合規工作并非僅是合規管理部門的職責,但是合規管理部門是牽頭負責部門。
因此理財子公司需要在明確合規管理部門必需的職能基礎上,審閱現行部門設置,合理分配相關管理資源。需要提示的是,無論是單獨設立合規管理部門以全權履行合規管理職能,抑或是將合規管理部門作為牽頭部門,這些設置均應通過董事會審批[5]。
2.設置符合要求的合規崗位
(1)首席合規官
《征求意見稿》發布后,業界普遍關注的焦點之一便是首席合規官的設置。實際這一職位對于理財子公司而言并不陌生,早在2022年,《理財公司內部控制管理辦法》便已明確要求,在高級管理層中設立首席合規官一職,并要求其直接向董事會負責。實務中已經有多家理財子公司任命了首席合規官。
需要注意的是,《合規風險指引》(2006)規定首席合規官由公司管理層任命,而此次《征求意見稿》與《理財公司內部控制管理辦法》要求一致,明確要求由董事會聘任,因此,如果適用則需要在公司治理架構上進行相應的調整[6]。
此外,首席合規官不得管理可能與合規管理存在職能沖突的部門,《征求意見稿》第十三條對此明確規定,“首席合規官不得負責管理金融機構的前臺業務、財務、資金運用、內部審計等可能與合規管理存在職責沖突的部門”。實務中,有些機構會讓同一位負責人同時擔任法務和合規部門的負責人,這種雙重角色的安排并不違背職責沖突原則。然而,一旦該負責人開始履行首席合規官的職責,則其必須符合相關資質要求,并且需要通過監管任職資格核準。
(2)合規崗
此次《征求意見稿》第二十九條要求“在金融機構應當為合規管理部門以外的其他部門配備專職或者兼職從事合規工作的人員。鼓勵并支持金融機構建立上述人員向同級合規管理部門負責的機制”。這一規定與《中央企業合規管理辦法》(2022)中的規定一致,即“中央企業應當在業務及職能部門設置合規管理員,由業務骨干擔任,接受合規管理部門業務指導和培訓”。
《征求意見稿》對于合規崗設置的要求,從“業務及職能部門”拓展為“合規管理部門以外的部門”,充分反映了全面覆蓋的基本原則。實務中,合規管理部門的工作,無論是合規事件數據收集、合規培訓的推廣還是合規風險的評估,都需要其他部門以及部門內的專門崗位支持,該崗位需要既了解合規要求也了解部門具體運作。雖然《征求意見稿》并未強制要求,但其鼓勵和支持建立此類崗位并對同級合規管理部門負責的機制,這一明確的監管態度已經給予合規工作強有力的支持,合規管理部門已經爭取建立相關機制。
3.聘用符合資質要求人員
對于首席合規官,《非銀行金融機構行政許可事項實施辦法》要求非銀行金融機構合規總監(首席合規官)應具備本科以上學歷,從事金融或法律工作6年以上。此次《征求意見稿》在本科學歷基礎上增加了全日制的要求,而且相關工作經驗時間增加到了八年,分支機構合規官的候選人的工作經驗為六年。如果理財子公司在《征求意見稿》生效后才聘任或任命首席合規官,應當按照最新要求選擇人選。
除對于首席合規官以及合規官學歷、工作經驗的要求外,對于一般合規管理人員,《征求意見稿》第三十五條規定“合規管理部門應當主要由具有法律或者經濟金融專業學歷背景的人員組成。其中,初次從事對機構重要經營決策、規章制度、合同進行法律審核的人員,以及為機構改制重組、并購上市、產權轉讓、破產重整、和解及清算等重大事項提出法律意見的人員應當具有法律專業背景或者通過法律職業資格考試”。
筆者認為,要求合規管理人員具有法律或者經濟金融專業學歷背景是較為合理的要求,但是合規意見并不能替代法律意見,合規管理功能也不能完全替代法務功能,《征求意見稿》發布后,業界對此亦有諸多討論。因此對于“初次從事對機構重要經營決策、規章制度、合同進行法律審核的人員,以及為機構改制重組、并購上市、產權轉讓、破產重整、和解及清算等重大事項提出法律意見”的合規人員設置以及資質要求需要觀察正式稿最終的決定。
(三)建立或調整合規制度及流程以支持合規管理功能
此次《征求意見稿》擴大了“合規”及“合規風險管理”定義,《合規風險指引》(2006)中關于合規的定義僅強調經營活動需要與法律、規則和準則相一致,而《征求意見稿》首次將“員工行為”管理納入合規定義范疇,同時將因員工履職行為違反合規規范而引發的風險事件納入合規風險定義。
此外,《征求意見稿》從合規人員任職能力、崗位資源配置、雙線匯報路徑、知情權和調查權賦予、合規考核與問責等多個層面為合規工作開展提供了強而有力的履職保障,賦予首席合規官以及合規管理部諸多權利以支持功能的發揮。下文擬從首席合規官(合規官)以及合規管理部權利角度進一步分析,理財子公司應當建立或調整何種制度或者流程以切實履行《征求意見稿》的相關要求[7]。
1.細化知情權相關制度和流程
知情權是合規管理人員非常重要的權利,實務中合規管理部門以及合規負責人(或者首席合規官)經常需要解決的難題是如何在充分了解機構運營和員工行為實際狀況的基礎上,出具合規意見或者簽署相關報告。《征求意見稿》在多個條款中保障了合規管理部門以及首席合規官的知情權。
(1)建立首席合規官與董事會的定期溝通機制
如前文所評述,“直接溝通機制”能夠實現首席合規官與董事會順暢、全面的信息溝通,并保證溝通的穩定性和及時性。只有首席合規官及時準確了解董事會最新的決策和考慮,才可以就公司重大經營決策和戰略問題提供合規意見。
(2)建立主動報告以及舉報機制
根據《征求意見稿》第二十三條,“無論是普通員工還是合規官、合規崗均需要及時向本級合規機構報告發現的發現本機構重大違法違規行為或者重大合規風險隱患”。同時《征求意見稿》第四十八條鼓勵員工提出改進合規管理的意見和建議,建立順暢的內部舉報機制,公布舉報電話、郵箱或者信箱。
實務中,單純依靠政策鼓勵報告或者舉報是不足以取得實際成效的,需要建立詳盡和細化的流程和制度以支持報告接收的及時性,特別是保障處理的保密性,此外,需要有制度來保證被報告或者舉報的事項能夠被及時記錄、關注、解決和追蹤。實務中,負責內部舉報處理的部門可能非合規管理部門,例如監察部或內審部等,但無論是哪一個部門負責,從機構角度出發,同樣要做到舉報信息處理的及時性和保密性。
即使合規管理部門并非直接處理違規事項的執行部門或者舉報的接收部門,但它仍需發揮牽頭部門的作用,使得公司對于報告或者舉報中查實的案例所涉及的業務、部門以及人員有充分了解,進而體現在合規檢查、內部控制檢查以及內審檢查重點關注的領域。當然,出于保密考慮,實務中公司應根據實際情況,對共享的信息、時間以及信息傳達的層級進行詳細設計和規劃。
(3)建立內審信息交流機制
根據《征求意見稿》第三十二條,“金融機構內部審計部門履行合規管理的第三道防線職責......并與合規管理部門建立有效的信息交流機制”。這一表述相較于《合規風險指引》(2006)“內部審計部門應隨時將合規性審計結果告知合規負責人”的表述更為科學。實務中,有些機構通過建立內審和合規管理部門共享的信息平臺實現此種信息交流機制,并在重大內審發現或者紀律懲處時,提前征求合規管理部門意見。
另外需要關注的是,按照《合規風險指引》(2006)第二十二條的規定,“商業銀行合規管理職能應與內部審計職能分離,合規管理職能的履行情況應受到內部審計部門定期的獨立評價”。這一規定系源于巴塞爾銀行委員會《Compliance and the compliance function in banks》(April 2005) 中的內容,但是該文件中的“合規管理職能”(compliance management function)并不僅為合規管理部門承擔(Not all compliance responsibilities are necessarily carried out by a "compliance department" or "compliance unit")。而《合規風險指引》(2006)中定義的“合規管理部門”,是指商業銀行內部設立的專門負責合規管理職能的部門、團隊或崗位,且并未在其他條款處清晰規范合規管理部門是履行合規管理工作的牽頭部門,其他部門也需履行部分合規職能。因此在實務中,有的機構的理解為“內審部門進行的合規風險審計就是審計合規管理部門的工作”。
此次《征求意見稿》表述更為準確和科學,即“審計部門應負責商業銀行各項經營活動的合規性審計。內部審計方案應包括合規管理職能適當性和有效性的審計評價,內部審計的風險評估方法應包括對合規風險的評估”。合規管理職能并非僅由合規管理部承擔,非合規管理部門也承擔對應的合規管理職能。
(4)細化參加、列席會議以及查閱、復制有關文件、資料的權利
根據《征求意見稿》第三十八條“首席合規官及合規官有權根據履行職責需要,參加或者列席有關會議,查閱、復制有關文件、資料。董事會會議、經營決策會議等高級管理層重要會議的,應當提前通知首席合規官”。
筆者認為《征求意見稿》對于重要會議局限于“高級管理層重要會議”的措辭值得探討,因為經營決策權通常由董事會行使。比照《證券公司和證券投資基金管理公司合規管理辦法》第二十五條,將“會議”定義為“重要會議”,并未局限于高級管理層,“證券基金經營機構召開董事會會議、經營決策會議等重要會議以及合規負責人要求參加或者列席的會議的,應當提前通知合規負責人。合規負責人有權根據履職需要參加或列席有關會議,查閱、復制有關文件、資料”。
這一條規定看似簡單,但是在實際落實時何種會議為重要會議以及何種會議首席合規官是參加還是列席,需要理財子公司結合公司實際仔細考量,因為雖然首席合規官為公司高級管理層一員,但其并非能夠參加所有董事會以及重要的管理層會議。理財子公司需要按照最終文件要求,明確相關會議參加人員的范圍。
(5)建立支持行使質詢以及取證權的制度及流程
《征求意見稿》第三十九條規定“金融機構應當保障首席合規官及合規官、合規管理部門及人員履行職責所需的知情權和調查權。首席合規官、合規官根據履行職責需要,有權向有關內設部門或者下屬各機構進行質詢和取證,要求金融機構有關人員對相關事項作出說明,向外部審計、法律服務等中介機構了解情況”。可以看出,質詢以及取證權是知情權的重要基礎。
質詢和取證權利的行使必須有具體的流程支持,通常體現在內部調查或者合規風險評估流程中。實務中,內部調查以及風險評估工作可能并非由合規管理部獨立承擔。如果由合規管理部主導調查與評估工作,則需要設計一套操作性強的流程,該流程一方面要保證合規管理部可以獲得真實、準確的信息,另一方面也需要在行使相關權力時符合法律與合規性要求,例如被質詢人基本權益保護、獲取相關信息的保密性等。如果相關調查工作由監察部、內審部或者內部控制部主導,則需要建立內部合作機制,以保障合規管理部門或者合規官能夠順利獲取所需信息的權利。
2.優化合規建議權的相關制度和流程
合規管理部門向所在機構提供合規建議是一項基本的合規職能。隨著監管壓力加大,合規管理部門在提供合規建議時,更加需要關注及時性和主動性。然而,如何在積極管理合規風險和避免事事都需合規同意的形式主義之間把握平衡,需要首席合規官以及其下轄合規管理部門制訂科學的工作制度和流程。
(1)建立追蹤法規發展流程并提供合規建議
《合規風險指引》(2006)第十八條第一款規定,“合規管理部門應在合規負責人的管理下協助高級管理層有效識別和管理商業銀行所面臨的合規風險,履行以下基本職責:持續關注法律、規則和準則的最新發展,正確理解法律、規則和準則的規定及其精神,準確把握法律、規則和準則對商業銀行經營的影響,及時為高級管理層提供合規建議”。比較而言,《征求意見稿》第十七條規定的更為細致且更為合理,即“法律、行政法規、部門規章及規范性文件發生重大變動的,首席合規官應當及時建議董事會或者其他高級管理人員并組織督導有關部門,評估變動對合規管理的影響,提出修訂、完善機構內部規范的建議,督促推動相關部門及時修訂”。《征求意見稿》第四十條規定“首席合規官及合規官有權根據法律、行政法規、部門規章及規范性文件的變動及發展,對相關內設部門或者下屬各機構提出修訂完善制度、流程、系統的建議,并監督其及時落實;有權對可能存在的重大合規風險進行預警、提示,并督促相關責任主體強化管控措施”。
可見,《征求意見稿》對于追蹤規范變動所應提供的合規關注的法規層級進行了區分。對于“法律、行政法規、部門規章及規范性文件發生重大變動”的,首席合規官應當及時建議董事會或者其他高級管理人員,具體的措施包括:組織督導有關部門,評估變動對合規管理的影響,提出修訂、完善機構內部規范的建議[7]。對于“法律、行政法規、部門規章及規范性文件的變動及發展”的,首席合規官及合規官有權“對相關內設部門或者下屬各機構提出修訂完善制度、流程、系統的建議”。
所以,理財子公司首先需要判定哪些“法律、行政法規、部門規章及規范性文件”是與本機構業務相關的文件,不加甄別的法規追蹤反而會浪費有限的合規資源,也不利于及時發現真正對于本機構有重大影響的法規變動。其次,理財子公司需要結合自身業務情況建立法規重要性評估體系,評估新規范對本機構的影響,進而確定是否是“重大變動”。
追蹤法規發展,是一項看似簡單,實則需要專業資源支持的工作。首席合規官不僅需要在合規管理部門內部調配專門人員負責,必要時還需要借助外部資源,例如定制法規數據庫或者律師事務所提供的專項服務來更有效地完成相關工作。
(2)建立重要事項的合規審查制度
對于合規審查職責,《合規風險指引》(2006)第十一條規定“負責日常監督商業銀行合規風險管理的董事會下設委員會應通過與合規負責人單獨面談和其他有效途徑,了解合規政策的實施情況和存在的問題,及時向董事會或高級管理層提出相應的意見和建議,監督合規政策的有效實施”;第十八條規定為“合規管理部門……審核評價商業銀行各項政策、程序和操作指南的合規性,組織、協調和督促各業務條線和內部控制部門對各項政策、程序和操作指南進行梳理和修訂,確保各項政策、程序和操作指南符合法律、規則和準則的要求”。
可以看到,原有的規定最大的問題是無論是合規負責人還是合規管理部門,需要對于何種問題提供合規審查或者建議的范圍并不明確。實務中,并非所有的政策、程序和操作指南均涉及合規風險,需要合規管理部門的審核。如果采取極端解讀,要求所有政策、程序和操作指南均由合規管理部門審查后方可實施,對于合規管理部門的資源將構成極大挑戰。而此次《征求意見稿》第十八條規定“首席合規官應當組織合規管理部門對金融機構發展戰略、重要內部規范、新產品和新業務方案、重大決策事項進行合規審查,并出具書面合規審查意見”,合規審查的范圍得到了合理的界定。
具體而言,對于新產品和新業務方案,實務中理財子公司通常需要向監管機構報備,即“國家金融監督管理總局及其派出機構、自律組織要求首席合規官對金融機構報送的申請材料或者報告進行合規審查的,首席合規官應當組織審查,并在該申請材料或者報告上簽署合規審查意見。其他相關高級管理人員等,應當對申請材料或者報告中基本事實和業務數據的真實性、準確性及完整性負責”。所以新產品和新業務的范圍要以監管要求或者溝通口徑為準。
對于發展戰略、重要內部規范以及重大決策事項的范圍,需要理財子公司結合自身實際情況進行明確的界定,并通過內部正式文件進行確認。筆者認為對于被認定為國有企業的理財子公司(包括國有獨資、國有控股形式),可以參考本機構落實《關于進一步推進國有企業貫徹落實“三重一大”決策制度的意見》(2010)過程中對于“重大決策、重大項目以及大額資金運作”的定義和相關規定,并妥善將合規審批流程與既有決策管理流程結合。
3.建立行使報告權的制度和流程
合規管理部門負責報告的事項主要包括常規性合規情況報告以及重大違法違規行為或者風險事件的報告,既有向公司管理層及董事會的內部報告,也包括向外部監管機構的報告。報告權是合規部門發揮監督作用、協助所在機構以及監管及早發現問題的重要工具,如果沒有操作性強的制度流程支持,合規部門的履職有效性會大打折扣。
(1)理順內部報告制度、流程
在設計重大違法違規以及合規風險事件報告相關制度流程前,首先需確立的意識是“發現重大違法違規行為或者重大合規風險及時進行匯報,并非僅是合規人員的職責”。根據《征求意見稿》第九條第三款,金融機構的高級管理人員.......履行下列合規管理職責:發現重大違法違規行為或者重大合規風險及時報告、整改,督促落實責任追究。同時,《征求意見稿》第二十三條規定金融機構各部門、下屬各機構及其員工發現本機構重大違法違規行為或者重大合規風險隱患時,應當及時主動向本級機構合規管理部門報告。設置合規官的分支機構,由合規管理部門及時向本級機構合規官報告。此外,《征求意見稿》第二十條同時規定,“首席合規官發現金融機構及其員工存在重大違法違規行為或者重大合規風險隱患的,應當及時向董事會、董事長報告,提出處理意見,并督促整改。首席合規官發現金融機構及其員工存在其他違法違規行為或者合規風險隱患的,應當按照機構內部合規管理程序,組織督促機構及時報告、處理和整改”。
綜上,可以看到關于重大違法違規行為或者重大合規風險報告的主體包括全部員工、高級管理層以及下屬分支機構的合規人員。合規管理部門同時需要設立相關制度以保證從基層員工到公司高級管理層提供的關于違法違規或者重大合規風險事件的信息能夠及時準確地傳遞到公司高級管理層或者董事會。
此外,《征求意見稿》第十八條規定“首席合規官的合規審查意見未被采納的,金融機構應當將有關事項提交董事會(不設董事會的提交執行董事)審定”。
(2)更新向監管機構報告的制度
向監管機構報告,首先是定期報告義務,《征求意見稿》中主要是指《年度合規管理報告》,該報告需要在每年4月30日前向金融監管機構報送,“董事會和首席合規官應對報告的真實性、準確性、完整性負責”。
需要注意的是,《合規風險指引》(2006)第二十六條規定,“商業銀行應及時將合規政策、合規管理程序和合規指南等內部制度向銀監會備案。商業銀行應及時向銀監會報送合規風險管理計劃和合規風險評估報告”。筆者理解,新規實施之后,機構年度提交報告的內容不再是合規風險管理計劃和合規風險評估報告,而是年度合規管理報告。《合規風險指引》(2006)第十四條對于合規風險評估報告應當包括的內容進行了規定:包括但不限于報告期合規風險狀況的變化情況、已識別的違規事件和合規缺陷、已采取的或建議采取的糾正措施等,但是《征求意見稿》并未單獨列明《年度合規管理報告》必須包括的內容。筆者認為,依據《征求意見稿》第二十五條第三款,合規管理部門職責為“牽頭組織實施合規審查、合規檢查、評估評價、合規風險監測與合規事件處理,推進合規規范得到嚴格執行,撰寫年度合規管理報告”,因此報告中至少應當包括上一年度“合規審查、合規檢查、評估評價、合規風險監測與合規事件處理”。當然實務中,需要關注《征求意見稿》的最終規定以及監管機構屆時的具體要求。
除定期報告外,向監管報告的另一種情形是臨時報告。主要包括:未采納首席合規官的合規審查意見,涉及重大事項時,應及時向監管機構報告(《征求意見稿》第十八條),以及“金融機構存在重大違法違規行為或者重大合規風險隱患的,應當及時向金融監管總局或者其派出機構報告。首席合規官發現機構未按要求報告的,應當督促機構及時報告。機構不報告的,首席合規官應當以個人名義,直接向金融監管總局或者其派出機構報告”(《征求意見稿》第二十條)。
首席合規官單獨向監管報告的權利賦予首席合規官極大的支持,同時這也是首席合規官必須履行的重要職責義務,是否嚴格執行對于證明首席合規官適當履職也具有關鍵作用。《征求意見稿》第五十九條明確規定,“對于金融機構的違法違規行為,首席合規官或者合規官、合規管理部門、合規管理人員已經按照本辦法的規定盡職履責的,不予追究責任”。
筆者認為在履行向監管報告義務中,最重要的是規范定義“重大違法違規行為或者重大合規風險隱患”事件。明確了報告事項的范圍,方能進一步明確該事項是否應當向監管報告,以及是否遵循了既有報告流程,進而首席合規官方可督促機構進行報告并進一步行使以個人名義直接報告的權利。
《征求意見稿》對于“重大違法違規或者重大合規風險隱患”的定義為“較大數額的罰款或者沒收較大數額的違法所得;造成或者可能造成機構重大財產損失、重大聲譽損失的合規風險事件、法律糾紛案件、涉刑案件、被國際組織制裁等合規風險事件等”。而且《征求意見稿》開創性的定義了“較大數額”與“重大財產損失”,“較大數額的罰款或者沒收較大數額的違法所得標準,按照國家金融監督管理總局有關行政處罰規定執行。所稱重大財產損失標準,是指預計損失超過上年度末資本凈額5%以上;或者損失金額超過上年度末資本凈額1%以上”。
但是上述定義仍是指導性定義,理財子公司仍需要結合本機構業務實際制定內部細化標準以及此類事件正常的報告流程。確定內部細化標準除需要考慮《中華人民共和國銀行業監督管理法》《中國銀保監會行政處罰辦法》《行政處罰裁量權實施辦法》等基本法規要求外,還需要考慮銀行業協會關于員工行為違規信息報送要求。此外,《銀行保險機構涉刑案件管理辦法(試行)》關于案件的報送要求、《銀行業保險業突發事件信息報告辦法》(2019)進行突發事件的報告要求以及《中國人民銀行關于進一步加強銀行業金融機構重大事項報告工作的通知(銀發〔2014〕293號)》中關于重大事項的報告要求,均需予以參照相關適用部分。另外,若母公司為上市公司,理財子公司亦需確保其細則與母公司重大事項報告制度保持一致。相關細化標準確定后,理財子公司應當向金融監管總局或者其派出機構報備。
4.理順行使考核、處理和問責建議權的流程
《征求意見稿》第四十五條規定“金融機構應當建立合規工作考核制度,將內設部門、下屬各機構合規管理質效納入考核,并將合規管理情況納入對下屬各機構負責人的年度綜合考核。鼓勵金融機構建立合規考核垂直管理機制。金融機構應當強化考核結果運用,將合規職責履行情況作為對內設部門、下屬各機構、員工考核、人員任用及評優評先等工作的重要依據”。
相較于《合規風險指引》(2006)第十五條“商業銀行應建立對管理人員合規績效的考核制度”,《征求意見稿》將合規考核人員的范圍明確為全員考核,并鼓勵建立垂直管理機制。與最后一款“加強考核結果運用”要求相呼應,《征求意見稿》第二十三條第二款規定“如果首席合規官或者合規官發現各部門、下屬各機構對重大違法違規行為或者重大合規風險隱患存在瞞報、漏報情形的,應當在機構內部的合規考核中,對責任機構和相關負責人實施‘一票否決’,不得評優評先等,并及時推動采取內部問責措施”。
處理和問責建議權主要針對出現重大違法違規行為或者重大合規風險隱患涉及的主體。根據《征求意見稿》第四十一條,“合規官享有建議問責權,有權對重大違法違規行為或者重大合規風險隱患涉及的主體提出處理和問責建議,包括薪酬扣減、崗位調整、降級等,并有權督促及時落實問題整改”。對比《合規風險指引》(2006)第十六條,“應建立有效的合規問責制度,嚴格對違規行為的責任認定與追究,并采取有效的糾正措施,及時改進經營管理流程,適時修訂相關政策、程序和操作指南”,《征求意見稿》顯著細化了合規管理建議問責權行使的條件以及權限范圍。
合規考核制度和問責制度對于理財子公司而言并不鮮見,但是實務中合規考核指標多為風險考核或整體考核指標中的一部分,合規部門一般并非問責流程主導部門。因此,《征求意見稿》實施后,首席合規官以及合規管理部門需要協調既有流程的主導部門,以體現最新的監管要求。當然,如果合規部門有足夠的資源支持,亦可建立合規考核的“垂直管理體系”。
5.教育培訓、咨詢權
向機構內員工進行合規教育培訓并提供相應咨詢,是合規履職的重要內容。《合規風險指引》(2006)第十八條第四款規定,“協助相關培訓和教育部門對員工進行合規培訓,包括新員工的合規培訓,以及所有員工的定期合規培訓,并成為員工咨詢有關合規問題的內部聯絡部門”。可以看到,在《合規風險指引》(2006)中,合規管理部門是“協助”部門,而且是員工咨詢有關合規問題的“內部聯絡部門”。而《征求意見稿》第二十五條規定“合規管理部門應當履行的職責包括:組織培育合規文化,開展合規培訓,組織刑事犯罪預防教育,向員工提供合規咨詢,推動全體員工遵守行為合規準則”。同時《征求意見稿》第四十九條規定“ 金融機構應當建立合規培訓機制,制定年度合規培訓計劃,加大對機構員工的培訓力度,將合規管理作為董事、高級管理人員初任、重點合規風險崗位人員業務培訓、新員工入職必修內容,進一步提升員工合規意識。”
可見,合規管理部門的合規培訓權得到進一步強化。首先,合規部門的教育培訓權不再限于“協助”,更為獨立;其次,對于教育培訓內容有了新的增加,即“刑事犯罪預防教育”;此外,在培訓覆蓋范圍上強調了對于董事、高級管理人員初任以及重點合規風險崗位人員以及新職工入職培訓。因此,合規管理部門需要建立本部門負責的培訓教育機制,明確現行培訓內容、覆蓋人群以及培訓時間、頻率均與法規要求保持一致。
6.檢查、評估以及調查權
對于業務部門合規情況進行檢查、評估,是合規管理部門發揮積極合規作用的重要工具。《征求意見稿》首次正式將“檢查、評估”列為合規管理部門正式職責(《征求意見稿》第十六條第二款以及第二十五條第三款)。
此外,根據《征求意見稿》第二十二條,“首席合規官及合規官應當及時組織處理國家金融監督管理總局及其派出機構要求調查的合規管理事項”,并關注監管機構“檢查和調查,跟蹤、督促、評估監管意見和監管要求的落實情況”。
除上述條款外,《征求意見稿》并未進一步詳細規范如何進行合規檢查與評估。實務中,理財子公司一道至三道防線均在進行檢查與評估,如何能夠在實現對風險全面覆蓋的同時避免重復檢查造成資源浪費,需要公司結合自身情況整體考慮。而且,即便在二道防線,根據《理財公司內部控制管理辦法》(2022)第九條規定,“……內部控制職能部門,牽頭內部控制體系的統籌規劃、組織落實、檢查評估和督促整改”,內部控制部門與合規管理部門進行的檢查與評估如何進行配合亦需要詳細設計。理財子公司內部控制部門原則上由首席合規官分管,且在實務中,合規管理部門與內部控制部門可能亦為同一個部門。為內部控制目的的檢查與評估和合規檢查與評估二者之間是替代、包容還是分立的關系,現行法規層面并不存在直接答案。
筆者并不在此討論理論上合規與內部控制的一致以及區別之處,僅從兩者主要的實施工具角度探討如何更為有效地進行檢查和評估。合規更多關注以不同合規風險為主題的狀態評估,例如“違反客戶適當性要求的銷售”是高風險還是低風險狀態,而內部控制更多通過流程、控制節點的遵循情況判斷機構控制的狀態[8]。相較于一般企業,理財子公司作為金融機構的特殊之處在于,其內部流程以及操作細節的違規行為往往意味著違反了外部監管機構的要求。因此,借助已經建立的內部控制體系,盡可能將檢查、評估要點與對應的合規風險主題相匹配,實現公司資源的最大化利用是理財子公司可以考慮的方法之一,這樣可以避免多次向業務部門重復抽樣、調取資料以及評估。當然對于合規風險高低以及可能性的評估仍需要合規管理團隊專人處理,此外,在面臨監管機構要求的專題調查或者新的合規風險主題時,仍需要合規管理部門牽頭負責。
三、尚待明確的問題
(一)如何與既有風險管理監管要求協調一致
如前文所述,筆者認為此次修訂最為關鍵的是將原來以“合規風險管理”為基本規范對象調整為以“合規管理”為基本規范對象。《合規風險指引》(2006)中原有關于風險管理的核心表述,例如第四條“合規管理是商業銀行一項核心的風險管理活動。商業銀行應綜合考慮合規風險與信用風險、市場風險、操作風險和其他風險的關聯性,確保各項風險管理政策和程序的一致性”以及第五條“商業銀行合規風險管理的目標是通過建立健全合規風險管理框架,實現對合規風險的有效識別和管理,促進全面風險管理體系建設,確保依法合規經營”都沒有保留在《征求意見稿》中。
雖然有觀點認為金融機構的業務進展本身就是風險管理的過程,但是筆者認為這一調整與實務更為一致,實務中風險管理更多專注于專業管理工作,例如風險的發現(包括檢查)、計量、監測和整改。
也正因如此,筆者認為,《征求意見稿》亟須對“合規風險監測”進行細化,并且需要明確如何與現行風險管理的規定相結合。《銀行業金融機構全面風險管理指引》以及《銀行保險機構操作風險管理辦法》并沒有明確規定合規風險屬于哪一類風險,盡管業界的主流觀點認為合規風險屬于操作風險的一類,但若能在法規層面予以明確的指引,將能更有效地解決實務中諸多紛擾。筆者認為,《征求意見稿》第二十五條第三款中規定的對合規管理部門牽頭組織實施合規審查、合規檢查、評估評價、合規風險監測若能參照《銀行保險機構操作風險管理辦法》中關于風險發現、計量、監測和整改的要求,則相關執行會更為準確、有效。
(二)首席合規官及合規官兼任問題
根據《征求意見稿》第十二條,“首席合規官、合規官,也可以由金融機構負責人、省級(計劃單列市)分支機構或者一級分支機構負責人兼任”。筆者認為首席合規官及合規官的核心職責在于對業務運營進行制衡和監督,相應地,其對于機構的業務檢查、獨立報告、獨立考核均有對應權利以保證其職責的履行。而行長(總經理)作為業務經營的代表,有可能會濫用相關監督制衡權力,混淆一道、二道防線的基本功能設置。考慮到大型商業銀行分支機構眾多,無法一次性補充如此多的合規官,正式文件可以針對不同的機構類型分別設定合規官配備標準。筆者認為對于理財公司而言,由于其機構規模普遍有限,仍應當堅持單獨設立首席合規官的要求。
四、結束語
如開篇所述,《征求意見稿》相較《合規風險指引》(2006)有了大幅的調整,回應了很多實務的反饋,給予合規管理工作更為清晰合理的指導。例如,基本概念表述更為科學,《合規風險指引》(2006)第二十條規定“商業銀行各業務條線和分支機構的負責人應對本條線和本機構經營活動的合規性負首要責任”,而《征求意見稿》第十條表述為“ 金融機構各部門主要負責人,各分支機構和納入并表管理的各層級金融子公司(以下統稱下屬各機構)主要負責人負責落實本部門、本級機構的合規管理目標,對本部門、本級機構合規管理承擔首要責任”。首要責任不再是針對“合規性”而是“合規管理”,新的表述對于業務條線和合規負責人的責任表述更為準確。此外,《征求意見稿》刪除了《合規風險指引》(2006)第二十六條“及時將合規政策、合規管理程序和合規指南等內部制度向銀監會備案”的要求,大幅減輕了實務中的工作負擔。
雖然《征求意見稿》尚存諸多細節待進一步明確,但通過本文分析,監管對于合規管理工作要求的提升以及加強資源支持的趨勢一目了然。建議理財子公司密切關注該法規的進展,并且盡早熟悉相關要求,做好履行準備。
注釋
[1] 《合規風險指引》(2006)第二條規定“在中華人民共和國境內設立的政策性銀行、金融資產管理公司、城市信用合作社、農村信用合作社、信托投資公司、企業集團財務公司、金融租賃公司、汽車金融公司、貨幣經紀公司、郵政儲蓄機構以及經銀保監會批準設立的其他金融機構參照本指引執行”。
[2] 有觀點認為操作風險包含合規風險。
[3] 《征求意見稿》第八條第七款“董事會可以下設合規委員會或者由董事會下設的其他專門委員會履行合規管理相關職責,負責對合規管理進行日常監督,對發生重大合規風險負有主要責任或者領導責任的董事、高級管理人員提出罷免建議”。
[4] 實務中,也有機構的章程模糊表述為“經本行董事會任命的其他高級管理人員”或者“公司可以根據經營管理需要設置首席專業高級管理人員”。
[5] 對于分支機構、子公司需設立獨立合規管理部門的原則性要求,因大部分理財子公司尚未開始大量的設立相關分支機構,故可待成立相關機構時統一考慮。
[6] 此次《征求意見稿》明確規定金融機構應當在所設省級(計劃單列市)分支機構或者一級分支機構設立合規官,合規官是本級機構高級管理人員,接受本級機構主要負責人直接領導。但是對于理財子公司目前發展現狀而言,尚未鋪設省級或者一級分支機構。因此對于合規官的設立要求可以待理財子公司設立分支機構時,統一考量。
[7] 本文在此處權利論述中并未單獨區分合規管理部門或首席合規官的權利,因為首席合規官也需要其下設的合規管理部門提供履職支持,在落實監管要求階段需要統一考慮。
[8] 對于“合規管理部門是否需要進行法律發展的追蹤”,筆者持保留意見。在理財子公司設立獨立法務團隊或者崗位的情況下,應當由專業的法律團隊提供意見更為合適。
[9] 陶光輝:再論合規與內控的本質區別
